Load Balancer y Failover no funciona
-
Hola a todos,
Tengo instalado un pfsense con 3 nics, dos wan y una lan. Segui la guia del sitio oficial pero no logro que funcione correctamente.
El balanceo de carga funciona sin problemas pero cuando desconecto una WAN el trafico no sigue saliendo por la otra.Defini el Load Balancer: Pool como indica en la guia pero no funciona.
En las reglas tengo definido que el trafico de la LAN a cualquier destino salga por el pool de BALANCEODECARGA.En "status->load balancer" el pool "LoadBalance" muestra los dos gateways en verde, si desconecto uno quedan los dos en rojo, el lugar de quedar el desconectado en rojo y el otro en verde.
Se les ocurre como puedo hacer? He leido bastante en los foros y no he encontrado a nadie que le funcione ok el balanceo de carga y el failover.
Gracias y saluldos.
-
¡Hola!
En el apartado Documentación de arriba tienes un subapartado dedicado a Balanceo.
Por lo que dices, tu problema debe estar en cómo has escogido las IPs a monitorizar. Tienes que asegurarte que sean distintas y que siempre se vaya a ellas por el correspondiente enlace…
Saludos,
Josep Pujadas
-
Hola Jose, gracias por la rapida respuesta.
Adjunto captura con los pool del load balancer y los failover. Son las dos interfaces wan, la WAN y OPT 1. Estas interfaces reciben una IP dinamica asignada por mi ISP y tienen el mismo gateway, por esto elegi las ip de los DNS de google para monitorear. Una para cada uno. Ademas en los DNS del "general setup" le asigne los mismo DNS.
Por otro lado adjunto captura con las reglas de la LAN del Frewall. Si dejo las dos primeras reglas con destination "any", sale todo el trafico por la primer interfaz. Si las dejo con el trafic odestino para los dns de google (como indico en la captura), no hace nada. Si las dejo deshabilitada el trafico se balancea pero no funciona el failover.
Tendrias idea que mas puede ser? Lei el apartado indicado pero no me funciona. Tener en cuenta que en el apartado indican que en cada WAN tienen un router bridgeado. Yo tengo mis interfaces directamente a los mdoms de mi ISP.
Si necesitas alguna captura mas o configuracion lo agrego.
Gracias y saludos.
-
¡Hola de nuevo!
Lo que tienes, es incorrecto. Hay un ejemplo en:
http://forum.pfsense.org/index.php/topic,20382.msg104729.html#msg104729
En la 1.2.3 las dos primeras reglas de la LAN son innecesarias, ya que el balanceador se ocupa de monitorizar la IP por la salida que le toca. Si las dos primeras reglas fuesen necesarias (versiones más antiguas de pfSense), tal como están no aseguran la Gateway para cada DNS externo. En Description tienes lo que deberían hacer pero no están bien porque hay que rellenar Gateway, con los valores distintos que no sean pools de balanceo/fallo.
Queda lo de los DNS en General Setup. Puede que no sea conveniente que sean los mismos. A probar. Quizás por esto tienes líos con la función failover del balanceo. Los pools de balanceo hacen failover. Puede que ajustando bien las dos reglas de qué hablábamos…
Los pools de failover que tienes no sirven para nada. Observa que no los estás empleando en las reglas LAN. En todo caso (ver ejemplo) conviene tener uno para asegurar que las conexiones https van por un lado u otro.
Saludos,
Josep Pujadas
-
Hola nuevamente Jose!
Verifique el link que me pasaste.
En los DNS del General Setup deje los dos de mi ISP.
En los POOL del load balancer deje solamente el de LoadBalancer entre las dos WAN.
En las reglas de LAN del Firewall deje solamente la regla que redireccione todo el trafico para el gateway "LoadBalancer".
Adjunto capturas de todo.Ahora lo que veo muy raro que antes me pasaba algo similar (antes de hacer estos cambios):
Si libero la IP de mi WAN2, quedando en estado down, en Status->LoadBalancer->Pool este queda en verde (operativo) y todo sigue funcionando.
Si libero la IP de mi WAN1, quedando en estado down, en Status->LoadBalancer->Pool este queda en rojo (no operativo). Y no hay salida hacie afuera de la red.Me parece algo raro. No se si es un bug o el funcionamiento normal.
Hay alguna configuracion que pueda realizar para correjirlo?Gracias y saludos.
Rodrigo.
-
¿Qué quieres decir con liberar la IP? ¿Qué haces exactamente? ¿Desconectar los módems? ¿Quitar el cable de los módems?
Los síntomas de lo que pasa es que el balanceador está monitorizando las dos IPs por WAN (WAN1). A priori deberías incluir las dos reglas, por delante de la que tienes, con los Gateway distintos. El problema es que quizás no podrás, al ser IPs dinámicas y/o darte la misma puerta el proveedor. ¿Qué te sale como opciones de gateway al crear una regla?
¿Por qué tienes bridge0 en las interfases LAN y WAN2? ¿Con qué versión de pfSense estás?
-
Hola Josep.
Dado que las pruebas las realizo generalmente en forma remota, la única manear que tengo de simular que se cayó un enlace, es dejarlo sin ip, es decir, en la interface que deseo bajar le hago un "release" de la IP.
Por el tema de las reglas para salir cada monitor por una interfaz diferente lo voy a probar y les comento. Cual sería la idea, el tráfico LAN para el destino "monitor A" que salga por la interfgaz "A"?? De este modo lo probaré, si la idea es otra te agradezco me avises así lo pruebo bien.
En cuanto al tema de tener las dos salidas el mismo gateway de mi ISP he ledio en el libro de PfSense que esto no puede ser asi, que hay que poner, por ejemplo, un router con NATEO para que el PFsense vea dos gateways diferentes. Es por esto que implemente un router en medio de la WAN2 y el segundo modem. La WAN1 sale directo al modem. La IP de la WAN2 es la 192.168.1.2 y su gateway es el 192.168.1.1.
Como Gateway al crear una regla me deja las siguientes opciones:
-default
-192.168.1.1
-LoadBalanceEn cuanto al tema del bridge, no lo tengo configurado, al menos no concientemente. En la configuracion de la interfas WAN2 en bridge figura "none".
Bueno, por ultimo la version que tengo es la 1.2.3.
Voy aprobar varias cosas ahora que tengo dos dos gateways diferentes para ver como se comporta.
Gracias por la informacion.
Si se te ocurre algo mas, por favor avisame.Saludos.
Rodrigo.
-
Dado que las pruebas las realizo generalmente en forma remota, la única manear que tengo de simular que se cayó un enlace, es dejarlo sin ip, es decir, en la interface que deseo bajar le hago un "release" de la IP.
No tengo claro que sea un test adecuado…
Por el tema de las reglas para salir cada monitor por una interfaz diferente lo voy a probar y les comento. Cual sería la idea, el tráfico LAN para el destino "monitor A" que salga por la interfgaz "A"?? De este modo lo probaré, si la idea es otra te agradezco me avises así lo pruebo bien.
Pues acceso al primer DNS por la gateway Default y al segundo por la gateway 192.168.1.1. Esto debería garantizar que sales por WAN en un caso y por WAN2 en el otro.
En cuanto al tema de tener las dos salidas el mismo gateway de mi ISP he ledio en el libro de PfSense que esto no puede ser asi, que hay que poner, por ejemplo, un router con NATEO para que el PFsense vea dos gateways diferentes. Es por esto que implemente un router en medio de la WAN2 y el segundo modem. La WAN1 sale directo al modem. La IP de la WAN2 es la 192.168.1.2 y su gateway es el 192.168.1.1.
Ok, por eso te comentaba el tema. Si tienes un router en WAN2, no hay problema, porque "fijas" la segunda gateway.
Como Gateway al crear una regla me deja las siguientes opciones:
-default
-192.168.1.1
-LoadBalancePreguntaba esto por lo ya comentado más arriba.
En cuanto al tema del bridge, no lo tengo configurado, al menos no concientemente. En la configuracion de la interfas WAN2 en bridge figura "none".
Bueno, por ultimo la version que tengo es la 1.2.3.
Es raro que aparezca bridge0. Mira bien el tema porque es raro.
Voy aprobar varias cosas ahora que tengo dos dos gateways diferentes para ver como se comporta.
Gracias por la informacion.
Si se te ocurre algo mas, por favor avisame.¡De nada!
-
Esto… hace 2 semanas tenía el mismo problema...no he logrado solucionarlo.
Yo tiraba del cable y/o apagana el router WAN1 y nada de nada...
Este fin de semana, tras leer vuestros comentarios, volveré a probar, si funciona, os cuento que hice mal.
O si alguien encuentra la solución (por si hubiera algún error en los tutoriales en ingles), se agradecería saber en que punto.
Saludos y gracias.
-
Hola a todos.
Continuando con las pruebas.
Modifique los monitores, el de la WAN1 es 8.8.8.8 (DNS de Google) y el de la
WAN2 es una de las IP que resuelve el dominio google.com. Relize este cambio dado que estaba teniendo problemas para la resolucion de DNS.Ingrese las reglas en el firewall para que cada monitor se verifique por la WAN correspondiente.
Como ya habia comentado, en la salida del segundo WAN se puse un router para que las dos WAN vean un gateway diferente.Ahora he logrado avanzar un poco, si desconecto la salida de la WAn1, mi loadbalancer detecta esto y queda esta salida en rojo. Si desconecto la salida WAN2, detecta el cambio y queda el load balancer con esta salida en rojo. Se verifica que cada ip a monitorear sale por la interfaz solicitada.
Ahora el problema es este:
Para verificar qeu todo siga ok mientras saco el calbe de una de las salidas dejo corriendo ping a los dos NS de mi ISP, a yahoo.com.ar, a las dos Ip de monitor y a la Ip de la WEB de mi ISP.Lo raro es que si desconecto la WAN2, la unica respuesta que tenbo es la del monitor de la WAN 1 y de yahoo.com.ar. Las demas dejan de responder por mas que reinicie el ping. Si desconecto la WAN1 pasa lo contrario. Tener en cuenta que los DNS de mi ISP me repsonden solo cundo esta arriba la WAN2. Probe confiurar una regla para cada NS, si las peticiones van al ns1, salir por default, si la peticion es para el ns2 salir por 192.168.1.1 (WAN2). Pruebo nuevamente desconectando un cable u el otro sin cambios. Las peticiones a ambos NS salen SIEMPRE por la mism interfaz.
Les adjunto captura de mis reglas LAN y de mi pool de load balancer.
Se les ocurre algo mas para probar? No esta funcionando del todo bien.
Me olvidaba, teniendo la WAN2 arriba puedo navegar por diversos sitios (facebook, hotmail) pero no por gmail. Tal vez sirva de algo mas.Gracias y saludos.
Rodrigo.
-
Leí entre líneas porque estoy colapsado.
Decirte que ping sale siempre por WAN, a no ser que lo cambiaran en la última versión de 1.2.3…
No es un buen test.
Hay que emplear tracert/traceroute en modo UDP o bien alguna aplicación como httping, http://www.vanheusden.com/httping/
-
Hola a todos.
Finalmente pude hacer funcionar correctamente el loadbalanbcer y failover!! :D. Estaba todo ok pero las pruebas estaban mal realizadas como indica Josep.
Repeti las pruebas pero en lugar de ping, utilize tracert.Ahora lo vamos a poner a prueba un poco mas para luego dejarlo en produccion. Luego con mas tiempo realizo un resumen de como debe estar configurado para
funcionar ya que no debo ser la primera persona qeu no lo logra hacer funcionar.Muchas gracias por la ayuda.
Saludos!!
Rodrigo.